긴급 보안 권고: CVE-2025-13930 — WooCommerce 체크아웃 관리자(≤ 7.8.5)에서의 임의 첨부파일 삭제 및 상점 보호 방법

날짜: 2026-02-21
작가: WP-방화벽 보안팀
태그: WordPress, WooCommerce, WAF, 취약점, CVE-2025-13930

요약: WooCommerce 체크아웃 관리자 플러그인(체크아웃 필드 관리자라는 이름으로도 알려짐) 버전 ≤ 7.8.5에 영향을 미치는 고위험 취약점(CVE-2025-13930)은 인증되지 않은 행위자가 취약한 사이트에서 첨부파일을 삭제할 수 있게 합니다. 이 게시물은 위험, 기술적 근본 원인, 탐지 및 완화 단계, 사고 대응 조치, 권장 가상 패치 및 장기적인 강화 지침을 WordPress 방화벽 및 보안 팀의 관점에서 설명합니다.

목차

• 개요: 무슨 일이 일어났고 왜 중요한가
• 취약점에 대한 기술 요약
• 잠재적 영향 및 공격 시나리오
• 타겟이 되었거나 침해되었는지 감지하는 방법
• 사이트 소유자를 위한 즉각적인 조치(우선 순위)
• 가상 패치: WAF 규칙 및 안전 필터(예시)
• 사이트 개발자를 위한 짧은 코드 패치(안전한 권한 확인)
• 사고 대응 및 복구 단계
• 장기적인 개발자 및 사이트 소유자를 위한 보안 모범 사례
• WP‑Firewall이 빠르게 보호하는 데 어떻게 도움이 되는지
• 체크리스트(간단 요약)

개요: 무슨 일이 일어났고 왜 중요한가

2026년 2월 19일 WooCommerce 체크아웃 관리자 플러그인(버전 7.8.5 포함)에서 누락된 권한 취약점이 공개되었고 CVE-2025-13930이 할당되었습니다. 근본적인 문제는 인증되지 않은 요청이 적절한 권한 및 nonce 확인이 없는 첨부파일 삭제 루틴에 도달할 수 있게 했습니다. 쉽게 말해: 공격자는 로그인 없이 미디어 라이브러리 항목(이미지, PDF, 첨부파일)의 삭제를 유발할 수 있었으며, 이로 인해 콘텐츠 손실, 깨진 제품 페이지, 고객 신뢰 상실 및 전자상거래 상점의 잠재적 비즈니스 중단이 발생했습니다.

첨부파일은 모든 WooCommerce 상점(제품 이미지, 다운로드 가능한 파일, 송장 등)에 중심적이기 때문에 이 취약점은 특히 민감합니다. 플러그인 저자는 버전 7.8.6에서 문제를 수정했습니다. 업데이트할 때까지는 WAF에서의 가상 패치, 구성 변경 및 모니터링을 포함한 다층 완화 접근 방식이 강력히 권장됩니다.

취약점에 대한 기술 요약

높은 수준에서 이 취약점은 깨진 접근 제어 조건입니다: 인증되지 않은 HTTP 요청이 첨부파일을 삭제하는 기능을 호출할 수 있습니다. 이러한 문제의 일반적인 원인은 다음과 같습니다:

• 인증된 환경을 기대하지만 인증 또는 권한을 명시적으로 확인하지 않는 엔드포인트 또는 AJAX/REST 핸들러(예: 없음 현재_사용자_가능 또는 check_admin_referer).
• 데이터를 변경하는 요청에서 누락되거나 잘못 검증된 nonce.
• 제거 루틴은 검증되지 않은 식별자(첨부파일 ID)를 수락하고 WordPress의 삭제 루틴을 호출합니다.

실제 세계의 체인은 일반적으로 다음과 같습니다:

1. 공개 엔드포인트(플러그인 전용)가 첨부파일 식별자(ID)를 수락합니다.
2. 핸들러는 요청한 사용자가 해당 리소스를 삭제할 권한이 있는지 확인하지 않고 코어 기능을 사용하여 삭제를 수행합니다 (wp_delete_attachment 또는 wp_delete_post).
3. 핸들러가 인증이나 논스를 확인하지 않기 때문에, 해당 엔드포인트에 도달할 수 있는 누구나 모든 첨부 파일 ID의 삭제를 요청할 수 있습니다.

이 문제에 대해 등록된 CVSS 벡터 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H)는 권한이나 UI 상호작용 없이 네트워크를 통해 원격으로 악용될 수 있음을 반영하며, 가용성/콘텐츠(첨부 파일 삭제)에 영향을 미칩니다. 패치는 버전 7.8.6에 게시되었습니다 — 즉시 업데이트하십시오.

잠재적 영향 및 가능한 공격자 시나리오

상점 소유자들이 왜 경각심을 가져야 할까요? 여기 현실적인 위험이 있습니다:

• 콘텐츠 손실: 공격자는 제품 사진, 배너, 다운로드 가능한 디지털 상품 및 매장에서 사용하는 기타 미디어 자산을 삭제할 수 있습니다.
• 수익 영향: 제품 이미지나 다운로드 가능한 항목이 제거되면 고객이 구매를 완료하거나 구매한 파일을 다운로드할 수 없게 될 수 있습니다.
• 평판 손상: 깨진 제품 페이지, 누락된 이미지 및 손상된 사이트 콘텐츠는 소비자 신뢰를 감소시키고 이탈률을 증가시킵니다.
• 운영 비용: 백업에서 복원하고, 자산을 다시 업로드하며, 잃어버린 시간을 회복하는 것은 — 특히 피크 비즈니스 시간에 — 비용이 많이 듭니다.
• 표적 파괴: 경쟁자나 갈취자가 피크 판매 시간 동안 상점을 의도적으로 표적으로 삼을 수 있습니다.
• 연쇄 반응: 숙련된 공격자는 삭제를 소음 생성의 수단으로 사용하여 관리자를 다른 곳에서의 2차 작업(자격 증명 수집, 악성 코드 배포)으로 주의 분산시킬 수 있습니다.
• SEO 저하: 누락된 이미지/페이지는 검색 엔진이 페이지를 색인 해제하거나 순위를 낮추게 할 수 있습니다.

공격 시나리오:

• 대량 삭제: 취약한 엔드포인트를 스캔하고 많은 첨부 파일 ID에 대한 삭제 요청을 발행하여 최대한의 혼란을 초래합니다.
• 표적 삭제: 전환에 직접적인 영향을 미치기 위해 고부가가치 제품 이미지만 선택적으로 제거합니다.
• 시간 예약 삭제: 공격자는 마케팅 캠페인이나 프로모션과 일치하도록 반복되거나 시간 예약된 요청을 할 수 있습니다.

타겟이 되었거나 침해되었는지 감지하는 방법

탐지는 로그와 WordPress 내부에 의존합니다. 로그(웹 서버, WAF, PHP 및 WordPress)를 유지 관리하는 경우, 다음을 확인하십시오:

1. 웹 서버 및 WAF 로그

• 공개 시간대에 첨부 파일 ID를 참조하는 숫자 매개변수를 포함하는 플러그인 관련 경로에 대한 POST/GET 요청 (예:, id=1234 또는 attachment_id=1234).
• 삭제와 유사한 요청의 높은 볼륨을 가진 단일 IP 주소에서의 요청.
• 유효한 인증 쿠키가 없는 외부 IP에서 오는 AJAX 엔드포인트 또는 REST 경로에 대한 예상치 못한 요청.

2. WordPress 로그 및 데이터베이스 증거

• 검사합니다 wp_posts 누락된 첨부 파일에 대해:
  • 시간대 전후의 첨부 파일에 대한 쿼리 차이.
  • 다음을 포함하는 기록 검색 4. post_type = 'attachment' 관련 기간에 휴지통으로 이동되거나 삭제된.
• 타임스탬프: 확인 수정된 게시물 또는 post_date_gmt 최근 삭제에 대해.
• 확인하다 wp_postmeta 고아 메타에 대해 (예:, _wp_attached_file 누락됨).
• 최근 첨부 파일 삭제를 나열하기 위한 예제 DB 쿼리 (필요에 따라 날짜 범위를 조정):

  SELECT ID, post_title, post_name, post_date, post_status FROM wp_posts WHERE post_type = 'attachment' AND post_date >= '2026-02-01' ORDER BY post_date DESC;
        

• 파일 시스템을 비교하십시오 (wp-content/uploads) 데이터베이스 항목과; 누락된 파일이 있지만 DB 항목이 존재하거나, 누락된 DB 항목이 있지만 파일이 존재하는 경우, 포렌식 상태를 나타냅니다.

3. 미디어 라이브러리

• WordPress 관리자에 로그인하고 누락된 항목, 휴지통으로 이동된 항목 또는 빈번한 재삽입을 위해 미디어 라이브러리를 검토하십시오.
• 썸네일이 누락되거나 참조가 깨진 제품 페이지 (이미지에 대한 HTTP 404).

4. 기타 지표

• 웹 로그에서 증가된 오류/노이즈 (403/404 스파이크).
• 예상치 못한 관리자 사용자 생성 또는 로그인 시도 (항상 확인할 가치가 있습니다).
• 후속 활동을 나타낼 수 있는 wp-content/uploads 또는 wp-콘텐츠 새로 추가된 PHP 파일이 있습니다.

의심스러운 삭제를 발견하면 로그와 스냅샷을 보존하십시오. 포렌식 분석을 위한 백업/스냅샷이 있을 때까지 변경을 피하십시오; 그러나 추가 삭제를 방지하기 위해 신속하게 완화 조치를 적용하십시오 (아래 즉각적인 조치를 참조하십시오).

사이트 소유자를 위한 즉각적인 조치(우선 순위)

WooCommerce Checkout Manager 플러그인(≤ 7.8.5)을 사용하는 WordPress 사이트를 운영하는 경우, 이 우선 순위 계획을 따르십시오:

1. 플러그인 업데이트 (최우선)
   즉시 버전 7.8.6 이상으로 업데이트하십시오. 이것은 CVE‑2025‑13930에 대한 결정적인 수정입니다.
2. 즉시 업데이트할 수 없는 경우
   플러그인을 일시적으로 비활성화하십시오 (비활성화하면 취약한 코드 실행이 중지됩니다).
   비활성화로 인해 수용할 수 없는 기능 손실이 발생하는 경우, 최소한 WAF 또는 웹 서버 규칙을 통해 취약한 엔드포인트를 차단하십시오 (아래 예시 참조).
3. WAF 수준에서 가상 패치를 적용하십시오.
   요청에 유효한 WordPress 인증 컨텍스트 또는 필요한 nonce가 포함되지 않는 한 플러그인의 삭제 엔드포인트에 대한 인증되지 않은 액세스를 차단하십시오.
   이 기사 후반부에서 WAF 규칙 예시를 참조하십시오.
4. 즉시 사이트를 백업하십시오.
   전체 백업을 생성합니다 (데이터베이스 + 파일 시스템). 이는 복구 및 포렌식을 위한 현재 상태를 보존합니다.
5. 삭제 여부를 확인하고 복원합니다.
   백업과 현재 상태를 비교합니다. 첨부 파일이 누락된 경우, 마지막으로 알려진 정상 백업에서 미디어 파일과 데이터베이스 항목을 복원합니다.
6. 로그를 모니터링하고 의심스러운 IP를 제한합니다.
   의심스러운 출처에 대해 IP 차단 또는 속도 제한을 구현합니다. 반복 위반자는 블랙리스트에 추가하되, 합법적인 고객은 차단하지 않도록 합니다.
7. 자격 증명 회전
   삭제 이상의 침해가 의심되는 경우 (예: 관리자 로그인), 관리자 자격 증명 및 API 키를 변경하고 강력한 비밀번호 + 2FA를 적용합니다.
8. 이해관계자에게 알리기
   내부 팀(운영, 지원)에 알리고 고객이 볼 수 있는 자산이 제거된 경우 고객과의 커뮤니케이션을 위한 지침을 제공합니다.

가상 패치: WAF 규칙 및 안전 필터(예시)

WordPress 방화벽(WAF) 또는 호스트 수준의 웹 애플리케이션 방화벽을 사용하는 경우, 업데이트하는 동안 악용을 차단하는 가장 빠른 방법은 가상 패칭입니다. 아래는 일반적인 WAF 지침 패턴입니다. 이를 귀하의 환경(리버스 프록시, ModSecurity, nginx, 클라우드 WAF 등)에 맞게 조정하십시오.

중요한: 기능을 깨뜨리는 블라인드 규칙을 피하십시오. 먼저 스테이징에서 규칙을 테스트하십시오.

1. 일반적인 탐지 서명 (개념적)

• 다음 요청을 차단하십시오:
  • 플러그인 특정 엔드포인트(“checkout” 또는 플러그인의 슬러그가 포함된 경로)를 타겟으로 합니다.
  • 삭제와 유사한 매개변수를 포함합니다 (첨부파일_ID, ID, delete_attachment, action=delete_attachment).
  • 인증되지 않은 상태입니다 (유효한 WordPress 로그인 쿠키가 없거나 nonce 헤더가 누락됨).

2. ModSecurity 스타일 규칙 예시 (개념적)

# 플러그인 엔드포인트에 대한 인증되지 않은 첨부 파일 삭제 시도를 차단합니다."
  

참고:

• 이 규칙은 삭제와 유사한 인수가 존재하고 WordPress 로그인 쿠키가 없을 때 플러그인 관련 URI에 대한 요청을 거부합니다. 쿠키 이름이나 nonce 검사를 귀하의 환경에 맞게 조정하십시오.
• 플러그인에서 사용하는 REST API 경로 또는 admin-ajax 엔드포인트가 있는 경우, 규칙을 정확한 URI로 세분화합니다.

3. nginx 예시 (개념적)

# 워드프레스 로그인 쿠키가 없으면 플러그인 삭제 엔드포인트에 대한 요청을 차단합니다.
  

4. 속도 제한 및 행동 차단

• 플러그인 경로에 대한 POST 요청을 예를 들어, IP당 분당 20으로 제한합니다.
• 많은 삭제 시도를 하는 IP를 차단합니다.

5. admin-ajax 및 REST 처리 강화

• 플러그인이 admin-ajax.php REST 경로의 경우, 유효한 nonce 또는 인증된 쿠키를 요구하여 접근을 제한합니다; 플러그인 작업과 일치하고 nonce가 없는 admin-ajax 엔드포인트에 대한 외부 POST를 차단합니다.

6. 모니터링/알림 규칙

• 위의 패턴에 대해 거부가 발생할 때 WAF 알림을 생성합니다; 해당 알림은 즉각적인 검토를 촉발합니다.

주의: 이러한 예시는 개념적입니다. 귀하의 환경은 조정된 구문 및 테스트가 필요할 수 있습니다. 관리형 WAF 서비스를 사용하는 경우, 플러그인이 업데이트될 때까지 플러그인의 삭제 논리에 대한 비인증 접근을 차단하는 임시 규칙을 배포하도록 지시하십시오.

짧은 코드 패치: 플러그인 핸들러에서 권한 부여를 시행합니다.

7.8.6으로 업데이트할 수 없지만 개발 리소스가 있는 경우, 취약한 핸들러를 가로채거나 보호 장치를 구현하는 mu-plugin을 추가합니다. 접근 방식: 플러그인의 작업/REST 경로에 일찍 후킹하고 현재_사용자_가능 진행하기 전에 nonce를 확인합니다. 예시(안전하고 비파괴적):

<?php
/**
 * MU plugin: temporary authorization guard for attachment deletion in plugin X
 * Place under wp-content/mu-plugins/stop-attachment-deletion.php
 */

add_action( 'init', function() {
    // If plugin uses REST API route, intercept with rest_pre_dispatch.
    add_filter( 'rest_pre_dispatch', function( $response, $server, $request ) {
        $route = $request->get_route();
        // Adjust this route string to match the plugin's deletion route if known.
        if ( false !== strpos( $route, '/checkout-manager' ) && $request->get_method() === 'POST' ) {
            // Require logged-in user
            if ( ! is_user_logged_in() ) {
                return new WP_Error( 'forbidden', 'Authentication required.', array( 'status' => 403 ) );
            }
            // Optionally require capability to delete attachments
            $attachment_id = isset( $request['attachment_id'] ) ? intval( $request['attachment_id'] ) : 0;
            if ( $attachment_id && ! current_user_can( 'delete_post', $attachment_id ) ) {
                return new WP_Error( 'forbidden', 'Insufficient privileges.', array( 'status' => 403 ) );
            }
        }
        return $response;
    }, 10, 3 );
});

참고:

• 이 mu-plugin은 플러그인의 경로에 대한 비인증 요청의 실행을 중지하고 삭제 기능을 확인합니다. 가능하다면 경로 일치를 플러그인의 실제 경로에 맞게 조정하십시오.
• 항상 스테이징에서 테스트하고 프로덕션에 수정 사항을 배포하기 전에 백업을 유지하십시오.

사고 대응: 이미 공격을 받았다면

1. 증거 보존
   서버(파일 + DB) 및 웹 서버/WAF 로그를 즉시 스냅샷합니다.
   손실을 피하기 위해 분석을 위해 로그를 격리된 환경으로 내보냅니다.
2. 격리 및 차단
   방화벽에서 공격하는 IP를 일시적으로 차단합니다; 추가 삭제를 차단하기 위해 WAF 규칙을 적용합니다.
   공격이 진행 중인 경우, 스냅샷 후 사이트를 유지 관리 모드로 전환하는 것을 고려하십시오.
3. 범위 평가
   삭제된 항목을 확인합니다: 제품 이미지, 다운로드 가능한 상품, 문서.
   추가로 의심스러운 변경 사항(새로운 관리자 사용자, 수정된 플러그인, 업로드된 PHP 파일)을 검색합니다.
4. 복원
   최신의 알려진 좋은 백업에서 누락된 첨부파일을 복원하십시오.
   일부만 손실되었고 백업이 있는 경우, 해당 미디어 파일을 복원하고 필요시 미디어 라이브러리에서 다시 연결하십시오.
5. 신뢰를 재구축하십시오.
   고객에게 구매한 다운로드가 영향을 받았는지 알리십시오.
   필요시 거래 페이지를 업데이트하십시오 (주문 영수증, 고객 포털).
6. 수정하고 강화하십시오.
   복원 후, 플러그인을 7.8.6으로 업데이트하십시오.
   업데이트가 모든 환경에 배포될 때까지 WAF 규칙과 mu-plugin guard를 적용하십시오.
7. 사고 후 검토
   배운 교훈을 기록하십시오.
   보안 태세 변경을 고려하십시오: 자동 플러그인 업데이트 정책, 강화된 모니터링, 정기적인 백업 및 복원 연습.

장기적인 개발자 및 사이트 소유자를 위한 보안 모범 사례

플러그인 개발자를 위한 권장 사항:

• 상태 변경 엔드포인트에 대한 권한을 항상 검증하십시오:
  • 사용 현재_사용자_가능 리소스에 대한 기능 검사 (예: delete_post).
  • 사용 check_admin_referer 또는 wp_verify_nonce AJAX 및 폼 작업에 대해.
  • REST API 엔드포인트의 경우, 다음을 사용하십시오. permission_callback 경로 등록에 대해.
• 최소 권한 원칙을 따르십시오: 필요한 최소한의 기능을 요구하십시오.
• 입력 검증 및 정화를 수행하십시오: ID가 정수이고 예상 유형에 속하는지 확인하십시오.
• 요청자 신원, IP 및 타임스탬프를 포함한 파괴적 작업에 대한 내부 감사 로그를 유지하십시오.
• 민감한 작업에 대한 속도 제한을 구현하고 포렌식 흔적을 위한 강력한 로깅을 수행하십시오.
• 특권 작업을 위한 보안 코딩 체크리스트 및 내부 코드 리뷰를 채택하십시오.

사이트 소유자 및 관리자에게:

• 모든 플러그인, 테마 및 코어를 최신 상태로 유지하십시오. 보안 수정이 출시되면 신속하게 패치하십시오.
• 정기적인 백업을 유지하고 복원 절차를 테스트하십시오.
• 웹 애플리케이션 방화벽 또는 관리형 보안 서비스를 사용하여 악용 창을 방지하십시오.
• 워드프레스를 강화하십시오:
  • 관리자 사용자 계정을 제한하십시오.
  • 이중 인증을 시행하십시오.
  • 강력한 비밀번호 정책을 사용하고 사건 발생 후 자격 증명을 교체하십시오.
  • 파일 권한을 제한하십시오 (777을 피하십시오).
• 로그를 모니터링하고 비정상적인 삭제 이벤트 또는 대량 API 호출에 대한 경고를 설정하십시오.
• 신뢰할 수 있는 출처에서만 플러그인을 설치하고 민감한 작업을 처리하는 플러그인의 코드 또는 보안 이력을 검토하십시오.

WP‑Firewall이 빠르게 보호하는 데 어떻게 도움이 되는지

우리는 WordPress 사이트를 위한 계층적 보호 솔루션으로 WP‑Firewall을 구축했습니다. CVE‑2025‑13930 및 유사한 취약점의 경우, WP‑Firewall이 신속하게 대응하고 위험을 줄이는 방법은 다음과 같습니다:

• 관리형 방화벽 규칙: 우리는 플러그인 엔드포인트에 대한 인증되지 않은 삭제 시도를 차단하는 가상 패치를 배포할 수 있습니다 (귀하의 사이트에 맞춘 사용자 정의 규칙 세트).
• WAF 및 실시간 차단: 우리의 WAF는 의심스러운 패턴을 식별하고 요청이 PHP에 도달하기 전에 차단하여 대량 삭제 시도를 방지합니다.
• 악성 코드 스캔 및 탐지: 우리는 손상 지표를 스캔하고 업로드, 테마 및 플러그인 폴더의 의심스러운 변경 사항을 탐지합니다.
• OWASP Top 10 완화: WP‑Firewall의 규칙은 손상된 접근 제어(A1/A02 범주)와 같은 일반적인 웹 위험을 완화합니다.
• 업데이트하는 동안 자동 완화: 중요한 취약점이 공개되면, 우리는 악용을 방지하는 임시 완화를 적용할 수 있습니다. 공급업체 패치를 설치할 때까지입니다.

계획 비교 (빠른 개요):

• 기본(무료): 관리형 방화벽, 무제한 대역폭, WAF, 악성 코드 스캐너 및 OWASP Top 10 위험에 대한 완화가 포함된 필수 보호 — 즉각적인 기본 보호에 적합합니다.
• 표준($50/년): 최대 20개의 IP를 블랙리스트/화이트리스트 할 수 있는 자동 악성코드 제거 기능을 추가합니다.
• 프로($299/년): 월간 보안 보고서, 취약점에 대한 자동 가상 패치 및 프리미엄 추가 기능 및 관리형 서비스에 대한 액세스를 추가합니다.

제목: 필수 보호로 시작하십시오 — WP‑Firewall 무료 계획 탐색

플러그인을 업데이트하거나 잠재적인 사건을 조사하는 동안 즉각적인 기본 보호를 원하신다면, 우리의 무료 기본 계획은 노출 창을 줄이는 데 필요한 관리형 방화벽 및 WAF 커버리지를 제공합니다. 몇 분 안에 보호를 활성화하려면 여기에서 가입하십시오: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(위의 계획 세부정보를 참조하십시오 — 기본은 빠르게 시작하고 패치하는 동안 귀하의 상점을 보호하는 데 완벽합니다.)

실용적인 체크리스트: 지금 취해야 할 구체적인 단계

1. WooCommerce Checkout Manager(또는 Checkout Field Manager 변형)를 사용하는지 확인하십시오.
2. 플러그인을 즉시 버전 7.8.6으로 업데이트하십시오. 여러 사이트를 관리하는 경우 전자상거래 상점을 우선시하십시오.
3. 업데이트할 수 없는 경우:
   • 플러그인 비활성화 또는
   • 플러그인 엔드포인트에 대한 인증되지 않은 요청을 차단하는 WAF 규칙을 적용하십시오.
4. 즉시 전체 백업(파일 + DB)을 수행하십시오.
5. 의심스러운 첨부 파일 삭제 시도를 위한 로그를 스캔하십시오.
6. 백업에서 누락된 첨부 파일을 복원하십시오.
7. 관리자 자격 증명을 변경하고 모든 관리자 계정에 대해 2FA를 활성화하십시오.
8. 추가적인 비정상 활동에 대해 사이트를 면밀히 모니터링하십시오.
9. 자동화된 공급업체 관리 규칙 배포가 필요하다면 가상 패칭을 제공하는 요금제로 업그레이드하는 것을 고려하십시오.
10. 플러그인 전반에 걸쳐 보안 스캔을 실행하여 다른 잠재적 약점을 찾아내십시오.

마지막 생각

CVE‑2025‑13930은 겉보기에는 작은 누락된 권한 확인이 전자상거래 상점에 비즈니스에 치명적인 중단을 초래할 수 있다는 고통스러운 상기입니다. 좋은 소식은: 플러그인 저자가 수정 사항(7.8.6)을 제공했으며, 몇 가지 계층화된 조치를 통해 사이트를 신속하게 보호할 수 있습니다 — 업데이트, 가상 패치(WAF), 백업 및 모니터링.

상점을 운영하는 사이트 소유자라면 먼저 패치를 적용한 후 여기에서 설명한 보호 조치를 적용하십시오. 여러 사이트를 관리하는 경우 가상 패치를 적용하고 수동 오버헤드를 줄일 수 있는 관리형 WAF를 고려하십시오.

우리는 고객에게 긴급 가상 패치, 사고 대응 지침 및 자동화된 보안 워크플로우를 지원할 준비가 되어 있습니다. WordPress 사이트를 보호하고 새로운 취약성에 대한 회복력을 보장하는 데 도움이 필요하다면 기본(무료) 요금제로 시작한 후 귀하의 위험 프로필에 맞는 서비스 수준을 선택하십시오.

안전하게 지내고 신속하게 행동하십시오 — 패치 비용은 항상 악용된 취약성으로부터 복구하는 비용에 비해 작습니다.

— WP‑Firewall 보안 팀